[PHP-users 14244] Re: Cookie 特許と PHP (session)

[Osamu Shigematsu]

重松です。こんにちは。

> セッションを実現するのに、cookie使わないでURIにセッションIDを埋め込む方
> がセキュリティー的には弱い気がするのですが。

別に URI に セッション ID を埋めなくても POST して渡すこともできますが。

cookie に比べて、セキュリティ的に甘くなると考えられる理由など
教えていただけると、cookie のありがたさを理解できるのではと思います。

> 毎回セッションIDを変えると、「戻る」ができなくなるし。。。

これに関しては、まさにそうですね。

ただ、個人的には、クライアントサイドには、セッション ID のみを渡して、
状態はすべてサーバで保持するのが筋だと思いますから、
ブラウザのバックボタンで戻るのではなくて、
戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
現実問題としては、やっぱり、戻りたくなりますね。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>